IT-sikkerhet 08.12.2020

GDPR og personopplysningsloven - Hva er det?

Hva er GDPR og hvilke regler gjelder?

Kort fortalt er GDPR en EU-forordning som gir alle EU- og EØS-land nye retningslinjer for personvern. Forordningen trådte i kraft i 2018 og har som formål å beskytte våre personopplysninger.

Kort fortalt er GDPR en EU-lovbestemmelse som gir alle EU- og EØS-land nye retningslinjer for personvern. Lovbestemmelsen trådte i kraft i 2018 og har som formål å beskytte våre personopplysninger.

Virksomheter som ikke følger GDPR-retningslinjene risikerer å miste kundenes tillit som en seriøs og troverdig aktør. De kan også bli dømt til å måtte betale relativt store bøter. 

Hva er GDPR?

GDPR står for general data protection regulation og er en lovbestemmelse om personvern. Det innebærer at hver enkelt av oss skal ha tilgang på nødvendig informasjon, og mulighet til å gi et aktivt samtykke til at virksomheter samler inn og bruker informasjonen vi deler med dem. Lovbestemmelsen definerer også en rekke regler om hvordan innsamling og bruk skal foregå, og for å oppfylle kravene i GDPR må virksomheter  derfor implementere en rekke tiltak.

 

1. Tydelig beskrevet formål

I henhold til GDPR skal formålet med datainnsamlingen være tydelig beskrevet. Innsamlede data kan da kun brukes til dette spesifikke formålet. Ønsker virksomheten å bruke data til flere ulike formål, må det innhentes samtykke til hvert av disse formålene separat.

 

2. Samtykke må være frivillig

Det å gi sitt samtykke kan ikke være en betingelse for at brukeren får tilgang til nettsiden. En virksomhet kan med andre ord ikke kreve at du må samtykke til å bli sporet for å få tilgang til innhold eller en tjeneste. Det er også et krav at samtykke uten videre skal kunne trekkes tilbake. Dette skal brukeren informeres om.

 

 

3. Samtykker må dokumenteres

Alle innhentede samtykker må dokumenteres av virksomheten. De som ønsker å samle data må med andre ord loggføre samtykker, endringer i disse og eventuelle tilbaketrekkinger.

 

4. Eksisterende databaser må oppdateres

Virksomheter som har eksisterende samtykkedatabaser må oppdatere disse slik at de tilfredsstiller de nye kravene for at de skal kunne regnes som lovlige i henhold til GDPR.

Les mer: Slik definerer Datatilsynet samtykke etter de nye personvernreglene.

 

Formålet med GDPR: Datainnsamlingen skal være transparent

Alle norske virksomheter skal uoppfordret opplyse om formålet med datainnsamlingen. De er også lovpålagt å informere brukeren om hvilke data som samles inn, hvordan denne dataen brukes og hvem som er behandlingsansvarlig.

Virksomheter må i tillegg opplyse om hvem data eventuelt deles med, samt hvor og hvor lenge dataene lagres. I tillegg skal forbrukers rettigheter til tilgang, endring og sletting være tydelig beskrevet. Videre er retten til å bli glemt sentral. Forbrukere kan kreve at all historikk slettes og fremtidig datainnsamling stoppes.

På denne måten skal alle brukere ha en fullstendig forståelse for hvordan virksomheter samler inn og bruker deres informasjon når vedkommende har gitt sitt samtykke til dette.

Les mer: Slik driver du innovasjon med GDPR.

 

GDPR i praksis - enkelt forklart

I praksis betyr dette at du må ha rutiner på plass for

  • å kunne varsle myndighetene om eventuelle brudd på personvernlovgivningen innen det har gått 72 timer
  • at personer skal få all sin informasjon slettet dersom de ønsker det
  • at personer skal kunne reservere seg mot å bli sporet dersom de ønsker det

I tillegg er det viktig at du vet hvor og hvordan du lagrer dine kundedata. Personopplysninger skal være tilstrekkelige, men også relevante og ikke overdrevne opp mot formålet for hvorfor de er behandlet og lagret. Kort fortalt: Du skal ikke lagre mer informasjon enn du strengt tatt trenger.

Det vil også lønne seg å bruke veletablerte sikkerhetsaktører. Revurder egne sikkerhetsrutiner og invester i sikkerhetsleverandører som kan tilby kryptering av data i skyen, avanserte systemer for å stoppe skadelig og ondsinnet programvare, og nettverkssikkerhet på alle nivåer i selskapet.

Undersøk hvordan din organisasjon kommer til å påvirkes av reguleringen og identifiser de områdene som dere må jobbe spesielt med. Er du usikker på hvordan du og din virksomhet skal forholde dere til GDPR-forordningen, kan det være fornuftig å søke juridisk rådgivning.

Til slutt vil vi råde deg til å ta hensyn til databeskyttelsens reguleringsregler når du utvikler nye eller endrer eksisterende IT-systemer. Det gir deg større mulighet til å følge reglene, forbedre sikkerheten og hindre unødvendige fremtidige kostnader.

Vil du lese mer om hvordan du kan utvikle din virksomhet på en måte som gjør dere mer lønnsomme og mer konkurransedyktige i en digital virkelighet? Last ned vår sjekkliste for hvordan du driver virksomhetens digitale forretningsutvikling her.

 

 

Ofte stilte spørsmål:

Hva er GDPR?

Kort fortalt er GDPR en EU-forordning som gir alle EU- og EØS-land nye retningslinjer for personvern. Forordningen trådte i kraft i 2018 og har som formål å beskytte våre personopplysninger.

Hva er formålet med GDPR?

Formålet med GDPR er at å gi brukere mer innsikt i hva slags informasjon virksomheter samler inn, hvordan denne samles inn og hva den brukes til. Brukere skal ha en reell mulighet til å la være å samtykke til innsamling av informasjon og be om at virksomheter sletter all informasjon om dem dersom det er ønskelig.

Gjelder GDPR alle norske virksomheter?

Ja GDPR gjelder for alle EU- og EØS-land, inkludert Norge.

Hva står GDPR for?

GDPR står for General Data Protection Regulation.

Hvordan sikrer jeg at jeg er overholder personvernlovgivningen?

Du sikrer at du overholder personvernlovgivningen ved å gi brukere en reell mulighet til å aktivt gi sitt samtykke til at du samler inn deres informasjon. I tillegg må formålet være beskrevet tydelig, samtykket må dokumenteres og det må være mulig å slette informasjon om brukere dersom de ønsker det.

Relaterte artikler